思科域名的分类
域名的分类 时间:2021-01-18 阅读:()
DavidLi李勇卫思科资深安全架构师Date201903思科助力企业安全可视化建设信息可视化监控检测分析定位网络主体用户终端系统服务行为软件网址应用文件流量位置时间哪年哪月几点几分哪个交换机哪个端口哪个楼层哪个座位社交媒体购物网站微博微信病毒广播风暴泛洪哪个部门的哪个人PCWindows7LinuxFTPDHCPJavaIE漏洞属性BashHeartbeat网络可视化的作用网络安全及稳定性问题通常来自于网络接入的主体为什么要网络安全可视化-工欲善其事,必先利其器层次覆盖协作开放呈现自动可视分析能力应用能力安全可视化建设六大要素不同产品配合、分享、决策执行获得更广的视角覆盖网内每个用户、每个端口、每次访问主机内每一个进程的每次操作解决方案跨越主机、接入、通讯、边界各个层次对外更多分享数据、更多的分享接口与应用系统的信息整合全面的、可分析、可衡量的态势呈现层次化、分级别的表现方式策略编排、处置自动、分析智能第一阶段第二阶段主机层面接入层面传输层面网络边界广深内外应用URL信誉分类黑名单邮件文件DNS监视到每一个端口每一个主机监视到每一此访问每一个数据包情景感知异常流量分析StealthWatch网络准入ISE邮件安全网关下一代防火墙Anyconnect信息采集AMP恶意软件检测安全能力内网安全可视化建设互联网威胁情报建设了解主机所有的属性信息可视化建设第一阶段-思科如何帮助客户实现安全可视化能力-层级分析、重点研究2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
SunthyCloud阿里云国际版分销商注册教程,即可PayPal信用卡分销商服务器
阿里云国际版注册认证教程-免绑卡-免实名买服务器安全、便宜、可靠、良心,支持人民币充值,提供代理折扣简介SunthyCloud成立于2015年,是阿里云国际版正规战略级渠道商,也是阿里云国际版最大的分销商,专业为全球企业客户提供阿里云国际版开户注册、认证、充值等服务,通过SunthyCloud开通阿里云国际版只需要一个邮箱,不需要PayPal信用卡就可以帮你开通、充值、新购、续费阿里云国际版,服务...
捷锐数据399/年、60元/季 ,香港CN2云服务器 4H4G10M
捷锐数据官网商家介绍捷锐数据怎么样?捷锐数据好不好?捷锐数据是成立于2018年一家国人IDC商家,早期其主营虚拟主机CDN,现在主要有香港云服、国内物理机、腾讯轻量云代理、阿里轻量云代理,自营香港为CN2+BGP线路,采用KVM虚拟化而且单IP提供10G流量清洗并且免费配备天机盾可达到屏蔽UDP以及无视CC效果。这次捷锐数据给大家带来的活动是香港云促销,总共放量40台点击进入捷锐数据官网优惠活动内...
标准互联(450元)襄阳电信100G防御服务器 10M独立带宽
目前在标准互联这边有两台香港云服务器产品,这不看到有通知到期提醒才关注到。平时我还是很少去登录这个服务商的,这个服务商最近一年的促销信息比较少,这个和他们的运营策略有关系。已经从开始的倾向低价和个人用户云服务器市场,开始转型到中高端个人和企业用户的独立服务器。在这篇文章中,有看到标准互联有推出襄阳电信高防服务器100GB防御。有三款促销方案我们有需要可以看看。我们看看几款方案配置。型号内存硬盘IP...
域名的分类为你推荐
-
独立ip主机独立IP主机和CDN主机的详细区别?注册国际域名哪里的国际域名注册便宜?免费vps服务器免费服务器有哪些网站空间域名关于网站的域名和空间?免费网站空间免费网站空间哪个好虚拟主机服务商哪个虚拟主机的服务商比较好?四川虚拟主机哪些网站适合租用独立服务器?双线虚拟主机双线虚拟主机说是比单线的好是吧?www二级域名www是二级域名,w也是二级域名 权重一样高吗?域名停靠“域名停靠”怎么挣钱啊?